За последние пару лет мы привыкли, что, если в процессорах обнаруживаются какие-то уязвимости, они зачастую больше касаются процессоров Intel. Однако новая уязвимость под названием SMM Callout Privilege Escalation (CVE-2020-12890) является исключением, так как она была обнаружена в процессорах AMD.
Обнаружил её специалист по безопасности Дэнни Одлер (Danny Odler), но сообщила о ней сама AMD. Уязвимость позволяет условному злоумышленнику манипулировать протоколом AGESA для выполнения произвольного кода, не обнаруживаемого операционной системой.
При этом AMD отмечает два важных пункта. Во-первых, согласно её данным, уязвимость имеется лишь на определённых клиентских и встраиваемых гибридных процессорах, вышедших в период с 2016 по 2019 год (точных моделей нет), а во-вторых, и это главное, исправить ситуацию можно простым обновлением AGESA, и AMD уже обеспечила соответствующими патчами большинство клиентов. Остальные получат их до конца текущего месяца.